Web Hacking - Angriffe und Abwehr



Ähnliche Dokumente
PHP-5-Zertifizierung. Block 12 Security.

Sicherheit in Webanwendungen CrossSite, Session und SQL

Schwachstellenanalyse 2012

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

Aktuelle Bedrohungen im Internet

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

Web-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Session Management und Cookies

Einführung in Web-Security

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Schwachstellenanalyse 2013

Web Exploit Toolkits - Moderne Infektionsroutinen -

Inhaltsverzeichnis. Einleitung... 11

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Web Applications Vulnerabilities

Kombinierte Attacke auf Mobile Geräte

V10 I, Teil 2: Web Application Security

Web Application Security: SQL-injection, Cross Site Scripting -- w3af

Tobias Wassermann. Sichere Webanwendungen mit PHP

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Datensicherheit. Vorlesung 5: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Aktuelle Sicherheitsprobleme im Internet

Zusammenfassung Web-Security-Check ZIELSYSTEM

Typo3 - Schutz und Sicherheit

Web Application Security

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation

Carsten Eilers Pentesters Toolbox

Warum werden täglich tausende von Webseiten gehackt?

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Money for Nothing... and Bits4free

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Datenbank-basierte Webserver

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

When your browser turns against you Stealing local files

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

Home-Router als Einfallstor ins Firmennetzwerk?

Migration Howto. Inhaltsverzeichnis

Angreifbarkeit von Webapplikationen

Bewährte Drupal-Module

WEBAPPLIKATIONEN MIT PHP. Wo gibt es Hilfe? Wie fang ich an?

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

PHP-(Un-)Sicherheit. Hacker-Seminar Herbstsemester 2006 Laboratory for Dependable Distributed Systems Universität Mannheim.

Norton Internet Security

Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona. T F team@csnc.ch

Sicherheit in Rich Internet Applications

Netzwerksicherheit Übung 9 Websicherheit

Sichere Webapplikationen nach ONR oder Wer liest meine s?

PHP-Schwachstellen und deren Ausnutzung

Xampp-Installation und Konfiguration. Stefan Maihack Dipl. Ing. (FH) Datum:

Sicherheitsanalyse elearning.uni-bremen.de

am Beispiel - SQL Injection

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Sicherheit Web basierter Anwendungen

Einführung in die Scriptsprache PHP

IT-Sicherheit. Sicherheit von Webanwendungen 7. Januar 2011

'DV8QWHUQHKPHQI U SURIHVVLRQHOOH,7/ VXQJHQ

Web Application Security

IHK: Web-Hacking-Demo

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Home-Router als Hintertürchen ins Geschäftsnetzwerk?

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

am Beispiel - SQL Injection

Paper: Automated Discovery of Parameter Pollution Vulnerabilities in Web Applications

Anleitung zum Prüfen von WebDAV

Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag

Selbst ist die Frau / der Mann: eine eigene Homepage erstellen!

Internet: Was ist das? - Routing

XSS for fun and profit

OP-LOG

Frankfurt,

Web Application Testing

RESTful Web. Representational State Transfer

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Informationstechnik & System-Management SQL INJECTION. Selbstgemachte Sicherheitslücken. SQL-Injection ITSB2006 Michael Donabaum

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Herzlich willkommen im Modul Web-Engineering

verstehen lernen, wie der Angreifer denkt diese Methoden selbst anwenden Allerdings: Mitdenken, nicht nur blindes ausprobieren Außerdem:

Hackerangriffe und Cyber Security im Jahr 2015

HTML Formulare. Benutzerschnittstelle für interaktive Webseiten

Schönes neues Internet

IT Sicherheit: Lassen Sie sich nicht verunsichern

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day Dr. Amir Alsbih CISO Haufe Gruppe

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Interaktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014

Hacking. InfoPoint Jörg Wüthrich

Offizielle Webpräsenz für Gruppenführer. Erstellen von Inhalten

Web Application Security Testing

Herzlich Willkommen! eine praxisnahe Übersicht. Mit Java ins Web - mb@bebox.franken.de (c) Michael Behrendt -

AJAX DRUPAL 7 AJAX FRAMEWORK. Was ist das Ajax Framework? Ein typischer Ablauf eines Ajax Requests Die Bestandteile des Ajax Frameworks.

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Transkript:

Web Hacking - Angriffe und Abwehr UNIX-Stammtisch 31. Januar 2012 Frank Richter Holger Trapp Technische Universität Chemnitz Universitätsrechenzentrum

Motivation (1): Für uns Lehrveranstaltung: Techniken der IT-Sicherheit Arbeitsaufgaben: Webmaster, Beratung, Kurse Sicherheit der eigenen Systeme prüfen Angriffspotenzial verringern viel Elend Anonyme Meldungen über Sicherheitsprobleme noch mehr Elend 2

Motivation (2): Angreifer und deren Ziele Underground Economy: Botnetze (Spam, DoS) verschleierte Geld-Transaktionen Spionage Politische Organisationen Infrastruktur lahmlegen Kleinkriminelle Geld (Konten, Kreditkarten, Betrug) Verunglimpfung, Zerstörungswut, Erpressung... Gelegenheitstäter Just for fun 3

5. Interpretation, Anzeige HTML Bilder, CSS JavaScript Java, Flash 1. URL http://www.domain.tld/doc Webbrowser Szenario: Websurfen 2. DNS 134.135.136.137 Internet DNS-Server 3. HTTP A: GET /test.html HTTP/1.1 Webserver 4. Verarbeitung Dateien (HTML, CSS, Bilder) CGI, PHP, ASP, JSP B:<html><head> <title>tolle Seite</title> 4

Die brutale Art: Denial of Service DDOS: Mit Bot-Netz / Cloud kriegst du alle tot. Es geht auch ohne: Hash collision DOS URL?name1=wert1&name2=wert2&... $_GET[ name1 ] = wert1 $_GET[ name2 ] = wert2... Geschickte Wahl von name gleicher Hash lineare Suche CPU-intensiv Alle Scriptsprachen außer Perl PHP: Fix mit max_input_vars 5

Remote / Local File Inclusion (RFI/LFI) Ziele: Anzeige beliebiger (geschützter) Dateien Ausführen von fremdem Code Schwachstelle: Ungenügende Prüfung von Parametern Beispiel: www.../index.php?datei=name.html <?php include($_get[ datei ]);?> www.../index.php?datei=/etc/passwd 6

SQL Injection Einschleusen von SQL-Befehlen in Webanwendungen Ziele: Zugang zu Datenbanken: Lesen, Manipulation Ggf. Kode ausführen Schwachstelle: Beispiel: Ungenügendes Maskieren von Parametern in SQL-Anweisungen www.../db.php?id=42 <?php mysql_query( SELECT... WHERE id=. $_GET[ id ]);?> 7

Cross Site Scripting (XSS) Unterbringen von HTML/JavaScript auf vertrauenswürdigen Webseiten Ziele: Benutzerdaten - Identitätsdiebstahl Falsche Inhalte, Verunstaltung Schwachstelle: Beispiel: Ungenügendes Maskieren von Parametern in HTML-Ausgaben www.../forum.php?text=hallo <?php echo $_GET[ text ];?> 8

Identitätsdiebstahl mit XSS 2 3 Login Cookie = Auth Artikel: <script>... XSS 5 1 4 Artikel: <script>... Cookie = Auth Cookie = Auth 9

Cross Site Request Forgery (CSRF) Legitimen Nutzern präparierte URLs unterschieben Transaktionen in Webanwendungen Ziele: Verschleierte Aktionen... Straftaten Schwachstelle: Zustandsloses HTTP, XSS, Schadsoftware Mensch: Neugier, Arglosigkeit Beispiele: webmail.../do?action=delete&id=42 ebay.com/bid?auction=23&amount=1000000 10

Produktionsserver: Abwehr (1): Konfiguration, Programmierung HTTP TRACE, Debug ausschalten Fehlerausgaben sehr sparsam Zugriff auf.bak,.old... unterbinden Misstraue allen Benutzereingaben/-daten: GET/POST, Cookies, URL-Parameter, Upload... sauberes Quoting und Sanitizing: Whitelists mit gültigen Werten, Syntaxkontrolle etablierte Funktionen nutzen, z.b. HTML-Ausgabe mit htmlspecialchars() externe Programme via Shell: escapeshellarg() 11

SQL Abwehr (2): Konfiguration, Programmierung mysql_real_escape_string() Prepared Statements Stored Procedures Beachte: String-Vergleiche sind normalerweise case-insensitive Geheimnisse (DB-Passwort) so sicher wie möglich ablegen 12

Abwehr (3): CSRF Nutzer: What can I do to protect myself as a user? Nothing. The fact is as long as you visit websites and don't have control of the inner architecture of these applications you can't do a thing. The truth hurts doesn't it? cgisecurity.com Vorsicht vor URLs aus unsichere Quelle: E-Mails, Kurz-URLs HTML-Mails: Laden von Bildern... ausschalten Kritische Aktionen nicht parallel, abmelden, NoScript Web-Anwendungen: Leichter Schutz: nur POST, kein GET Challenge Token pro Request zusätzlich zur Session nicht nur Cookie 13

Session IDs aktualisieren (gegen Session Fixation) HTML in (reflektierten) Eingaben unterbinden (XSS) aktuelle Tools/Frameworks einsetzen mod_security Application Level Firewall Informieren und handeln: Security News, neue Versionen installieren www.owasp.org Aufwändig und teuer: Abwehr (4): Programmierung, Administration Ständige Pflege, Code Review, Penetration Tests Qualifiziertes Personal, Zeit 14

Tools und Links telnet / nc wget / curl Browser (mit Addons zur Manipulation des Datenverkehrs) Attack-/Audit-Tools, z.b. w3af Proxy, z.b. WebScarab, Proxy von w3af http://www.phpfreaks.com/tutorial/php-security Gruyere - Web Application Exploits and Defenses http://google-gruyere.appspot.com 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback